Delen via

STAP 12: DirectAccess-connectiviteit testen

Voordat u de connectiviteit vanaf de clientcomputers kunt testen wanneer ze zich op internet- of Homenet-netwerken bevinden, moet u ervoor zorgen dat ze over de juiste groepsbeleidsinstellingen beschikken.

  • Controleren of clients het juiste groepsbeleid hebben

  • DirectAccess-connectiviteit testen vanaf internet via EDGE1

  • CLIENT2 naar de Win7_Clients_Site2-beveiligingsgroep verplaatsen

  • DirectAccess-connectiviteit vanaf internet testen via 2-EDGE1

Benodigdheden

Verbind beide clientcomputers met het Corpnet-netwerk en start vervolgens beide clientcomputers opnieuw op.

Controleren of clients het juiste groepsbeleid hebben

  1. Klik in CLIENT1 op Start, typ powershell.exe, klik met de rechtermuisknop op PowerShell-, klik op Geavanceerdeen klik vervolgens op Als administrator uitvoeren. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, bevestigt u dat het de gewenste actie is en klikt u vervolgens op Ja.

  2. Typ ipconfig- in het Windows PowerShell-venster en druk op Enter.

    Zorg ervoor dat het IPv4-adres van de Corpnet-adapter begint met 10.0.0.

  3. Typ in het Windows PowerShell-venster Get-DnsClientNrptPolicy en druk op Enter. De NRPT-vermeldingen (Name Resolution Policy Table) voor DirectAccess worden weergegeven.

    • .corp.contoso.com- Deze instellingen geven aan dat alle verbindingen met corp.contoso.com moeten worden omgezet door een van de DirectAccess DNS-servers, met het IPv6-adres 2001:db8:1::2 of 2001:db8:2:20.

    • nls.corp.contoso.com-Deze instellingen geven aan dat er een uitzondering is voor de naam nls.corp.contoso.com.

  4. Laat het Windows PowerShell-venster geopend voor de volgende procedure.

  5. Klik in CLIENT2 op Start, klik op Alle programma's, klik op Accessoires, klik op Windows PowerShell-, klik met de rechtermuisknop op Windows PowerShell-en klik vervolgens op Als administrator uitvoeren. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de actie die het weergeeft, degene is die u wilt, en klikt u vervolgens op Ja.

  6. Typ ipconfig- in het Windows PowerShell-venster en druk op Enter.

    Zorg ervoor dat het IPv4-adres van de Corpnet-adapter begint met 10.0.0.

  7. Typ in het Windows PowerShell-venster netsh naamruimte weergeven beleid en druk op Enter.

    In de uitvoer moeten er twee secties zijn:

    • .corp.contoso.com- Deze instellingen geven aan dat alle verbindingen met corp.contoso.com moeten worden omgezet door de DirectAccess DNS-server, met het IPv6-adres 2001:db8:1::2.

    • nls.corp.contoso.com-Deze instellingen geven aan dat er een uitzondering is voor de naam nls.corp.contoso.com.

  8. Laat het Windows PowerShell-venster geopend voor de volgende procedure.

DirectAccess-connectiviteit testen vanaf internet via EDGE1

  1. Koppel 2 EDGE1 los van het internetnetwerk.

  2. Koppel CLIENT1 en CLIENT2 los van de corpnet-switch en verbind deze met de internetswitch. Wacht 30 seconden.

  3. Typ in CLIENT1 in het Windows PowerShell-venster ipconfig /all en druk op Enter.

  4. Bekijk de uitvoer van de ipconfig-opdracht.

    De clientcomputer is nu verbonden met internet en heeft een openbaar IPv4-adres. Wanneer de DirectAccess-client een openbaar IPv4-adres heeft, worden de Teredo- of IP-HTTPS IPv6-overgangstechnologieën gebruikt om de IPv6-berichten via een IPv4-internet te tunnelen tussen de DirectAccess-client en de RAS-server. Teredo is de voorkeurstransitietechnologie.

  5. Typ in het Windows PowerShell-venster ipconfig /flushdns en druk op Enter. Hiermee worden vermeldingen voor naamomzetting verwijderd die mogelijk nog aanwezig zijn in de DNS-cache van de client vanaf het moment dat de clientcomputer is verbonden met het corpnet.

  6. Schakel de Teredo-interface uit om ervoor te zorgen dat de clientcomputer IP-HTTPS gebruikt om verbinding te maken met corpnet met de volgende opdracht:

    netsh interface teredo set state disable

  7. Zorg ervoor dat u bent verbonden via EDGE1. Typ netsh interface httpstunnel show interfaces en druk op Enter.

    De uitvoer moet URL bevatten: https://edge1.contoso.com:443/IPHTTPS.

    Hint

    Op CLIENT1 kunt u ook de volgende Windows PowerShell-opdracht uitvoeren: Get-NetIPHTTPSConfiguration-. De uitvoer toont de beschikbare server-URL-verbindingen en het momenteel actieve profiel.

  8. Typ in het Windows PowerShell-venster ping-app1 en druk op Enter. U ziet antwoorden van het IPv6-adres dat is toegewezen aan APP1, in dit geval 2001:db8:1::3.

  9. Typ in het Windows PowerShell-venster ping 2-app1 en druk op Enter. U ziet antwoorden van het IPv6-adres dat is toegewezen aan 2-APP1, in dit geval 2001:db8:2::3.

  10. Typ in het Windows PowerShell-venster ping-app2 en druk op Enter. Als het goed is, ziet u antwoorden van het NAT64-adres dat door EDGE1 aan APP2 is toegewezen, dat in dit geval fdc9:9f4e:eb1b:7777::a00:4 is. Houd er rekening mee dat de vetgedrukte waarden variëren vanwege de wijze waarop het adres wordt gegenereerd.

    De mogelijkheid om APP2 te pingen is belangrijk, omdat succes aangeeft dat u een verbinding tot stand kon brengen met NAT64/DNS64, omdat APP2 een alleen IPv4-resource is.

  11. Open Internet Explorer, voer in de adresbalk van Internet Explorer https://app1/ in en druk op Enter. U ziet de standaard IIS-website op APP1.

  12. Voer in de adresbalk van Internet Explorer https://2-app1/ in en druk op Enter. U ziet de standaardwebsite op 2-APP1.

  13. Voer in de adresbalk van Internet Explorer https://app2/ in en druk op Enter. U ziet de standaardwebsite op APP2.

  14. Typ in het scherm Start\\2-App1\Filesen druk op Enter. Dubbelklik op het voorbeeldtekstbestand.

    Dit laat zien dat u verbinding kunt maken met de bestandsserver in het corp2.corp.contoso.com domein wanneer u verbinding hebt gemaakt via EDGE1.

  15. Typ in het scherm Start\\App2\Filesen druk op Enter. Dubbelklik op het bestand Nieuw tekstbestand.

    Dit laat zien dat u verbinding kunt maken met een IPv4-server met behulp van SMB om een resource in het resourcedomein te verkrijgen.

  16. Typ in het scherm Startwf.mscen druk op Enter.

  17. In de Windows Firewall met Advanced Security-console ziet u dat alleen het openbare profiel actief is. De Windows Firewall moet zijn ingeschakeld om DirectAccess correct te laten werken. Als Windows Firewall is uitgeschakeld, werkt de DirectAccess-verbinding niet.

  18. Vouw in het linkerdeelvenster van de console het knooppunt Bewaking uit en klik op het verbindingsbeveiligingsregels knooppunt. U ziet de beveiligingsregels voor actieve verbindingen: DirectAccess Policy-ClientToCorp, DirectAccess Policy-ClientToDNS64NAT64PrefixExemption, DirectAccess Policy-ClientToInfraen DirectAccess Policy-ClientToNlaExempt. Scroll het middelste deelvenster naar rechts om de kolommen Eerste Verificatiemethoden en Tweede Verificatiemethoden weer te geven. U ziet dat voor de eerste regel (ClientToCorp) Kerberos V5 wordt gebruikt om de intranettunnel tot stand te brengen en de derde regel (ClientToInfra) NTLMv2 gebruikt om de infrastructuurtunnel tot stand te brengen.

  19. Vouw in het linkerdeelvenster van de console het knooppunt beveiligingsassociaties uit en klik op het hoofdmodus-knooppunt. Let op de beveiligingsassociaties van de infrastructuurtunnel met behulp van NTLMv2 en de beveiligingsassociatie van de intranettunnel met behulp van Kerberos V5. Klik met de rechtermuisknop op de vermelding met User (Kerberos V5) als de tweede verificatiemethode en klik op Eigenschappen. Op het tabblad Algemeen ziet u dat de Lokale ID voor tweede verificatie is CORP\User1, waarmee wordt aangegeven dat User1 succesvol kon verifiëren bij het CORP-domein met Kerberos.

  20. Herhaal deze procedure uit stap 3 op CLIENT2.

CLIENT2 naar de Win7_Clients_Site2-beveiligingsgroep verplaatsen

  1. Klik op DC1 op Start, typ dsa.mscen druk op Enter.

  2. Open corp.contoso.com/Users in de Active Directory-gebruikers-en-computersconsole en dubbelklik op Win7_Clients_Site1.

  3. Klik in het dialoogvenster Win7_Clients_Site1 Eigenschappen op het tabblad Leden, klik op CLIENT2, klik op verwijderen, klik op Jaen klik vervolgens op OK.

  4. Dubbelklik op Win7_Clients_Site2en klik vervolgens in het dialoogvenster Win7_Clients_Site2 Eigenschappen op het tabblad Leden.

  5. Klik op toevoegen en klik in het dialoogvenster Gebruikers, Contactpersonen, Computers of Service accounts selecteren op Objecttypen, selecteer Computersen klik vervolgens op OK.

  6. Typ CLIENT2in Voer de objectnamen in omte selecteren en klik vervolgens op OK-.

  7. Start CLIENT2 opnieuw en meld u aan met het corp/User1-account.

  8. Open op CLIENT2 een verhoogde Windows PowerShell, typ netsh namespace show policy en druk op ENTER.

    In de uitvoer moeten er twee secties zijn:

    • .corp.contoso.com- Deze instellingen geven aan dat alle verbindingen met corp.contoso.com moeten worden omgezet door de DirectAccess DNS-server, met het IPv6-adres 2001:db8:2::20.

    • nls.corp.contoso.com-Deze instellingen geven aan dat er een uitzondering is voor de naam nls.corp.contoso.com.

DirectAccess-connectiviteit vanaf internet testen via 2-EDGE1

  1. 2 EDGE1 verbinden met het internetnetwerk.

  2. Koppel EDGE1 los van het internetnetwerk.

  3. Open in CLIENT1 een Windows PowerShell-venster met verhoogde bevoegdheid.

  4. Typ in het Windows PowerShell-venster ipconfig /flushdns en druk op Enter. Hiermee worden vermeldingen voor naamomzetting verwijderd die mogelijk nog aanwezig zijn in de DNS-cache van de client vanaf het moment dat de clientcomputer is verbonden met het corpnet.

  5. Zorg ervoor dat u bent verbonden via 2 EDGE1. Typ netsh interface httpstunnel show interfaces en druk op Enter.

    De uitvoer moet URL bevatten: https://2-edge1.contoso.com:443/IPHTTPS.

    Hint

    Op CLIENT1 kunt u ook de volgende opdracht uitvoeren: Get-NetIPHTTPSConfiguration. De uitvoer toont de beschikbare server-URL-verbindingen en het momenteel actieve profiel.

    Notitie

    CLIENT1 verandert automatisch de server waarmee deze verbinding maakt met bedrijfsbronnen. Als in de uitvoer van de opdracht een verbinding met EDGE1 wordt weergegeven, wacht u ongeveer vijf minuten en probeert u het opnieuw.

  6. Typ in het Windows PowerShell-venster ping-app1 en druk op Enter. U ziet antwoorden van het IPv6-adres dat is toegewezen aan APP1, in dit geval 2001:db8:1::3.

  7. Typ in het Windows PowerShell-venster ping 2-app1 en druk op Enter. U ziet antwoorden van het IPv6-adres dat is toegewezen aan 2-APP1, in dit geval 2001:db8:2::3.

  8. Typ in het Windows PowerShell-venster ping-app2 en druk op Enter. Als het goed is, ziet u antwoorden van het NAT64-adres dat door EDGE1 aan APP2 is toegewezen, dat in dit geval fdc9:9f4e:eb1b:7777::a00:4 is. Houd er rekening mee dat de vetgedrukte waarden variëren vanwege de wijze waarop het adres wordt gegenereerd.

    De mogelijkheid om APP2 te pingen is belangrijk, omdat succes aangeeft dat u een verbinding tot stand kon brengen met NAT64/DNS64, omdat APP2 een alleen IPv4-resource is.

  9. Open Internet Explorer, voer in de adresbalk van Internet Explorer https://app1/ in en druk op Enter. U ziet de standaard IIS-website op APP1.

  10. Voer in de adresbalk van Internet Explorer https://2-app1/ in en druk op Enter. U ziet de standaardwebsite op APP2.

  11. Voer in de adresbalk van Internet Explorer https://app2/ in en druk op Enter. U ziet de standaardwebsite op APP3.

  12. Typ in het scherm Start\\App1\Filesen druk op Enter. Dubbelklik op het voorbeeldtekstbestand.

    Dit laat zien dat u verbinding hebt kunnen maken met de bestandsserver in het corp.contoso.com domein wanneer u verbinding hebt gemaakt via 2-EDGE1.

  13. Typ in het scherm Start\\App2\Filesen druk op Enter. Dubbelklik op het bestand Nieuw tekstbestand.

    Dit laat zien dat u verbinding kunt maken met een IPv4-server met behulp van SMB om een resource in het resourcedomein te verkrijgen.

  14. Herhaal deze procedure op CLIENT2 uit stap 3.